Palo Alto Networks iestatīšanas līdzekļi: SSL VPN

Neskatoties uz visām Palo Alto Networks ugunsmūru priekšrocībām, RuNet nav daudz materiālu par šo ierīču iestatīšanu, kā arī tekstu, kas apraksta to ieviešanas pieredzi. Mēs nolēmām apkopot materiālus, kurus esam uzkrājuši, strādājot ar šī pārdevēja aprīkojumu, un pastāstīt par iespējām, ar kurām saskārāmies dažādu projektu īstenošanas laikā.

Lai iepazīstinātu jūs ar Palo Alto Networks, šajā rakstā tiks apskatīta konfigurācija, kas nepieciešama, lai atrisinātu vienu no visizplatītākajām ugunsmūra problēmām - SSL VPN attālajai piekļuvei. Mēs arī runāsim par utilītu funkcijām vispārīgai ugunsmūra konfigurācijai, lietotāja identifikācijai, lietojumprogrammām un drošības politikām. Ja tēma interesēs lasītājus, turpmāk mēs izlaidīsim materiālus, kas analizēs vietņu VPN, dinamisko maršrutēšanu un centralizēto pārvaldību, izmantojot Panorama.

Palo Alto Networks ugunsmūri izmanto vairākas novatoriskas tehnoloģijas, tostarp App-ID, User-ID, Content-ID. Šīs funkcionalitātes izmantošana ļauj nodrošināt augstu drošības līmeni. Piemēram, ar App-ID ir iespējams identificēt lietojumprogrammu trafiku, pamatojoties uz parakstiem, dekodēšanu un heiristiku, neatkarīgi no porta un izmantotā protokola, tostarp SSL tunelī. User-ID ļauj identificēt tīkla lietotājus, izmantojot LDAP integrāciju. Content-ID ļauj skenēt trafiku un identificēt pārsūtītos failus un to saturu. Citas ugunsmūra funkcijas ietver aizsardzību pret ielaušanos, aizsardzību pret ievainojamībām un DoS uzbrukumiem, iebūvētu pretspiegprogrammatūru, URL filtrēšanu, klasterizāciju un centralizētu pārvaldību.

Demonstrācijai izmantosim izolētu stendu, kura konfigurācija ir identiska reālajam, izņemot ierīču nosaukumus, AD domēna nosaukumu un IP adreses. Reāli viss ir sarežģītāk – zaru var būt daudz. Šajā gadījumā viena ugunsmūra vietā uz centrālo vietņu robežām tiks uzstādīts klasteris, un var būt nepieciešama arī dinamiska maršrutēšana.

Lietots uz statīva PAN-OS 7.1.9. Kā tipisku konfigurāciju apsveriet tīklu ar Palo Alto Networks ugunsmūri malā. Ugunsmūris nodrošina attālo SSL VPN piekļuvi galvenajam birojam. Active Directory domēns tiks izmantots kā lietotāju datu bāze (1. attēls).

1. attēls – tīkla blokshēma

Iestatīšanas darbības:

1. Ierīces iepriekšēja konfigurācija. Nosaukuma, pārvaldības IP adreses, statisko maršrutu, administratora kontu, pārvaldības profilu iestatīšana
2. Licenču instalēšana, atjauninājumu konfigurēšana un instalēšana
3. Drošības zonu konfigurēšana, tīkla saskarnes, satiksmes politikas, adrešu tulkošana
4. LDAP autentifikācijas profila un lietotāja identifikācijas līdzekļa konfigurēšana
5. SSL VPN iestatīšana

1. Iepriekš iestatīts

Galvenais Palo Alto Networks ugunsmūra konfigurēšanas rīks ir tīmekļa saskarne; ir iespējama arī pārvaldība, izmantojot CLI. Pēc noklusējuma pārvaldības saskarne ir iestatīta uz IP adresi 192.168.1.1/24, pieteikšanās: admin, parole: admin.

Adresi var mainīt, izveidojot savienojumu ar tīmekļa saskarni no tā paša tīkla vai izmantojot komandu iestatiet deviceconfig sistēmas ip-adresi <> tīkla masku <>. Tas tiek veikts konfigurācijas režīmā. Lai pārslēgtos uz konfigurācijas režīmu, izmantojiet komandu konfigurēt. Visas izmaiņas ugunsmūrī notiek tikai pēc tam, kad iestatījumi ir apstiprināti ar komandu izdarīt, gan komandrindas režīmā, gan tīmekļa saskarnē.

Lai mainītu iestatījumus tīmekļa saskarnē, izmantojiet sadaļu Ierīce -> Vispārīgie iestatījumi un Ierīce -> Pārvaldības interfeisa iestatījumi. Nosaukumu, banerus, laika joslu un citus iestatījumus var iestatīt sadaļā Vispārējie iestatījumi (2. att.).

2. attēls. Pārvaldības saskarnes parametri

Ja ESXi vidē izmantojat virtuālo ugunsmūri, sadaļā Vispārīgie iestatījumi ir jāiespējo hipervizora piešķirtās MAC adreses izmantošana vai jākonfigurē hipervizora ugunsmūra saskarnēs norādītās MAC adreses, vai jāmaina virtuālie slēdži, lai ļautu MAC mainīt adreses. Pretējā gadījumā satiksme netiks cauri.

Pārvaldības saskarne ir konfigurēta atsevišķi un netiek parādīta tīkla saskarņu sarakstā. Nodaļā Pārvaldības interfeisa iestatījumi norāda pārvaldības saskarnes noklusējuma vārteju. Citi statiskie maršruti ir konfigurēti virtuālo maršrutētāju sadaļā; tas tiks apspriests vēlāk.

Lai ļautu piekļūt ierīcei, izmantojot citas saskarnes, ir jāizveido pārvaldības profils Pārvaldības profils daļa Tīkls -> Tīkla profili -> Interfeisa Mgmt un piešķiriet to atbilstošajam interfeisam.

Tālāk sadaļā ir jākonfigurē DNS un NTP Ierīce -> Pakalpojumi lai saņemtu atjauninājumus un pareizi parādītu laiku (3. att.). Pēc noklusējuma visa ugunsmūra ģenerētā trafika kā avota IP adrese izmanto pārvaldības interfeisa IP adresi. Katram konkrētajam pakalpojumam sadaļā varat piešķirt citu saskarni Pakalpojuma maršruta konfigurācija.

3. attēls – DNS, NTP un sistēmas maršrutu pakalpojumu parametri

2. Licenču instalēšana, atjauninājumu iestatīšana un instalēšana

Lai pilnībā darbotos visas ugunsmūra funkcijas, ir jāinstalē licence. Varat izmantot izmēģinājuma licenci, pieprasot to Palo Alto Networks partneriem. Tās derīguma termiņš ir 30 dienas. Licence tiek aktivizēta, izmantojot failu vai izmantojot Auth-Code. Licences ir konfigurētas sadaļā Ierīce -> Licences (Att. 4).
Pēc licences instalēšanas sadaļā jākonfigurē atjauninājumu instalēšana Ierīce -> Dinamiskie atjauninājumi.
Iedaļā Ierīce -> Programmatūra varat lejupielādēt un instalēt jaunas PAN-OS versijas.

4. attēls — Licences vadības panelis

3. Drošības zonu konfigurēšana, tīkla saskarnes, satiksmes politikas, adrešu tulkošana

Konfigurējot tīkla noteikumus, Palo Alto Networks ugunsmūri izmanto zonas loģiku. Tīkla saskarnes tiek piešķirtas noteiktai zonai, un šī zona tiek izmantota satiksmes noteikumos. Šī pieeja ļauj nākotnē, mainot saskarnes iestatījumus, nemainīt satiksmes noteikumus, bet gan pārdalīt nepieciešamās saskarnes attiecīgajām zonām. Pēc noklusējuma satiksme zonā ir atļauta, satiksme starp zonām ir aizliegta, par to atbild iepriekš noteikti noteikumi intrazone-noklusējums и starpzonu-noklusējums.

5. attēls – Drošības zonas

Šajā piemērā zonai ir piešķirts interfeiss iekšējā tīklā iekšējs, un zonai tiek piešķirta saskarne, kas vērsta uz internetu ārējs. SSL VPN ir izveidots un zonai piešķirts tuneļa interfeiss VPN (Att. 5).

Palo Alto Networks ugunsmūra tīkla saskarnes var darboties piecos dažādos režīmos:

• Pieskarieties – izmanto, lai savāktu trafiku uzraudzības un analīzes nolūkos
• HA – izmanto klasteru darbībai
• Virtuālais vads - šajā režīmā Palo Alto Networks apvieno divas saskarnes un pārredzami pārraida trafiku starp tām, nemainot MAC un IP adreses
• Slānis2 - pārslēgšanas režīms
• Slānis3 - maršrutētāja režīms

6. attēls. Interfeisa darbības režīma iestatīšana

Šajā piemērā tiks izmantots Layer3 režīms (6. att.). Tīkla saskarnes parametri norāda IP adresi, darbības režīmu un atbilstošo drošības zonu. Papildus interfeisa darbības režīmam tas ir jāpiešķir virtuālajam maršrutētājam, kas ir Palo Alto Networks VRF instances analogs. Virtuālie maršrutētāji ir izolēti viens no otra, un tiem ir savas maršrutēšanas tabulas un tīkla protokola iestatījumi.

Virtuālā maršrutētāja iestatījumi norāda statiskus maršrutus un maršrutēšanas protokola iestatījumus. Šajā piemērā ir izveidots tikai noklusējuma maršruts piekļuvei ārējiem tīkliem (7. att.).

7. attēls. Virtuālā maršrutētāja iestatīšana

Nākamais konfigurācijas posms ir satiksmes politikas sadaļa Politikas -> Drošība. Konfigurācijas piemērs ir parādīts 8. attēlā. Noteikumu loģika ir tāda pati kā visiem ugunsmūriem. Noteikumi tiek pārbaudīti no augšas uz leju, līdz pirmajam mačam. Īss noteikumu apraksts:

1. SSL VPN piekļuve tīmekļa portālam. Ļauj piekļūt tīmekļa portālam, lai autentificētu attālos savienojumus
2. VPN trafika — ļaujot satiksmi starp attāliem savienojumiem un galveno biroju
3. Pamatinternets – ļauj dns, ping, traceroute, ntp lietojumprogrammas. Ugunsmūris ļauj lietot lietojumprogrammas, kuru pamatā ir paraksti, dekodēšana un heiristika, nevis portu numuri un protokoli, tāpēc sadaļā Pakalpojums ir norādīts, ka lietojumprogramma ir noklusēta. Šīs lietojumprogrammas noklusējuma ports/protokols
4. Web Access – piekļuve internetam, izmantojot HTTP un HTTPS protokolus, bez lietojumprogrammu kontroles
5,6. Noklusējuma noteikumi citai satiksmei.

8. attēls. Tīkla noteikumu iestatīšanas piemērs

Lai konfigurētu NAT, izmantojiet sadaļu Politikas -> NAT. NAT konfigurācijas piemērs ir parādīts 9. attēlā.

9. attēls. NAT konfigurācijas piemērs

Jebkurai datplūsmai no iekšējās uz ārējo, varat mainīt avota adresi uz ugunsmūra ārējo IP adresi un izmantot dinamisko porta adresi (PAT).

4. LDAP autentifikācijas profila un lietotāja identifikācijas funkcijas konfigurēšana
Pirms lietotāju savienošanas, izmantojot SSL-VPN, ir jākonfigurē autentifikācijas mehānisms. Šajā piemērā Active Directory domēna kontrollera autentifikācija tiks veikta, izmantojot Palo Alto Networks tīmekļa saskarni.

10. attēls – LDAP profils

Lai autentifikācija darbotos, jums ir jākonfigurē LDAP profils и Autentifikācijas profils. Sadaļā Ierīce -> Servera profili -> LDAP (10. att.) jānorāda grupās iekļautā domēna kontrollera IP adrese un ports, LDAP tips un lietotāja konts. Serveru operatori, Notikumu žurnāla lasītāji, Izkliedētie COM lietotāji. Pēc tam sadaļā Ierīce -> Autentifikācijas profils izveido autentifikācijas profilu (11. att.), atzīmē iepriekš izveidoto LDAP profils un cilnē Advanced mēs norādām lietotāju grupu (12. att.), kuriem ir atļauta attālināta piekļuve. Ir svarīgi atzīmēt parametru savā profilā Lietotāja domēns, pretējā gadījumā grupas autorizācija nedarbosies. Laukā jānorāda NetBIOS domēna nosaukums.

11. attēls. Autentifikācijas profils

12. attēls – AD grupas izvēle

Nākamais posms ir iestatīšana Ierīce -> Lietotāja identifikācija. Šeit jums jānorāda domēna kontrollera IP adrese, savienojuma akreditācijas dati un arī jākonfigurē iestatījumi Iespējot drošības žurnālu, Iespējot sesiju, Iespējot zondēšanu (13. att.). Nodaļā Grupas kartēšana (14. att.) ir jāatzīmē parametri objektu identificēšanai LDAP un to grupu saraksts, kuras tiks izmantotas autorizācijai. Tāpat kā autentifikācijas profilā, arī šeit ir jāiestata lietotāja domēna parametrs.

13. attēls. Lietotāja kartēšanas parametri

14. attēls. Grupas kartēšanas parametri

Pēdējais solis šajā fāzē ir izveidot VPN zonu un saskarni šai zonai. Interfeisā ir jāiespējo opcija Iespējot lietotāja identifikāciju (Att. 15).

15. attēls — VPN zonas iestatīšana

5. SSL VPN iestatīšana

Pirms savienojuma izveides ar SSL VPN, attālajam lietotājam ir jādodas uz tīmekļa portālu, jāautentificējas un jālejupielādē Global Protect klients. Pēc tam šis klients pieprasīs akreditācijas datus un izveidos savienojumu ar korporatīvo tīklu. Tīmekļa portāls darbojas https režīmā un attiecīgi tam ir jāinstalē sertifikāts. Ja iespējams, izmantojiet publisku sertifikātu. Tad lietotājs nesaņems brīdinājumu par sertifikāta nederīgumu vietnē. Ja nav iespējams izmantot publisko sertifikātu, tad jāizsniedz savs, kas tiks izmantots mājas lapā https. Tas var būt pašparakstīts vai izdots ar vietējās sertifikācijas iestādes starpniecību. Attālā datora uzticamo saknes iestāžu sarakstā jābūt saknes vai pašparakstītam sertifikātam, lai lietotājs, pieslēdzoties tīmekļa portālam, nesaņemtu kļūdu. Šajā piemērā tiks izmantots sertifikāts, kas izdots, izmantojot Active Directory sertifikātu pakalpojumus.

Lai izsniegtu sertifikātu, sadaļā ir jāizveido sertifikāta pieprasījums Ierīce -> Sertifikātu pārvaldība -> Sertifikāti -> Ģenerēt. Pieprasījumā norādām sertifikāta nosaukumu un interneta portāla IP adresi jeb FQDN (16. att.). Pēc pieprasījuma ģenerēšanas lejupielādējiet .csr failu un kopējiet tā saturu sertifikāta pieprasījuma laukā AD CS Web Enrollment tīmekļa veidlapā. Atkarībā no tā, kā ir konfigurēta sertifikācijas iestāde, sertifikāta pieprasījums ir jāapstiprina un izsniegtais sertifikāts ir jālejupielādē šādā formātā Base64 kodētais sertifikāts. Turklāt jums ir jālejupielādē sertifikācijas iestādes saknes sertifikāts. Pēc tam abi sertifikāti jāimportē ugunsmūrī. Importējot sertifikātu tīmekļa portālam, ir jāatlasa pieprasījums gaidīšanas statusā un jānoklikšķina uz Importēt. Sertifikāta nosaukumam jāatbilst iepriekš pieprasījumā norādītajam nosaukumam. Saknes sertifikāta nosaukumu var norādīt patvaļīgi. Pēc sertifikāta importēšanas jums ir jāizveido SSL/TLS pakalpojuma profils daļa Ierīce -> Sertifikātu pārvaldība. Profilā norādām iepriekš importēto sertifikātu.

16. attēls. Sertifikāta pieprasījums

Nākamais solis ir objektu iestatīšana Globālās aizsardzības vārteja и Globālais aizsardzības portāls daļa Tīkls -> Globālā aizsardzība... Iestatījumos Globālās aizsardzības vārteja norāda ugunsmūra ārējo IP adresi, kā arī iepriekš izveidoto SSL profils, Autentifikācijas profils, tuneļa interfeiss un klienta IP iestatījumi. Ir jānorāda IP adrešu kopums, no kura adrese tiks piešķirta klientam, un Access Route - tie ir apakštīkli, uz kuriem klientam būs maršruts. Ja uzdevums ir ietīt visu lietotāja trafiku caur ugunsmūri, tad jānorāda apakštīkls 0.0.0.0/0 (17. att.).

17. attēls – IP adrešu un maršrutu kopas konfigurēšana

Pēc tam jums ir jākonfigurē Globālais aizsardzības portāls. Norādiet ugunsmūra IP adresi, SSL profils и Autentifikācijas profils un ugunsmūru ārējo IP adrešu saraksts, ar kurām klients izveidos savienojumu. Ja ir vairāki ugunsmūri, katram var iestatīt prioritāti, pēc kuras lietotāji izvēlēsies ugunsmūri, ar kuru izveidot savienojumu.

Iedaļā Ierīce -> GlobalProtect Client jums ir jālejupielādē VPN klienta izplatīšana no Palo Alto Networks serveriem un jāaktivizē. Lai izveidotu savienojumu, lietotājam jādodas uz portāla tīmekļa lapu, kur viņam tiks lūgts lejupielādēt GlobalProtect klients. Pēc lejupielādes un instalēšanas varat ievadīt savus akreditācijas datus un izveidot savienojumu ar korporatīvo tīklu, izmantojot SSL VPN.

Secinājums

Tas pabeidz Palo Alto Networks iestatīšanas daļu. Mēs ceram, ka informācija bija noderīga un lasītājs ieguva izpratni par Palo Alto Networks izmantotajām tehnoloģijām. Ja jums ir jautājumi par iestatīšanu un ieteikumi par turpmāko rakstu tēmām, rakstiet tos komentāros, mēs ar prieku atbildēsim.

Avots: www.habr.com